Délégué à la protection des données : la Cnil adopte deux référentiels en matière de certification

PARIS, 18 octobre 2018 – Afin de permettre l’identification des compétences et savoir-faire du délégué à la protection des données (DPO), la Commission nationale de l’informatique et des libertés (Cnil) a adopté, le 20 septembre dernier, un référentiel de certification, publié au JO du 11 octobre.

La Cnil y fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO. La certification, rappelle la Cnil sur son site internet le 11 octobre, « n’est pas obligatoire pour exercer les fonctions de DPO. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la Cnil. Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement ». La Cnil ne délivrera pas elle-même de certification DPO. Ce sont les organismes certificateurs, lorsqu’ils auront été agréés par la Cnil, qui le feront.

Agrément

Pour être agréés, les organismes doivent respecter un autre référentiel adopté également le 20 septembre par la Cnil et déposer une demande auprès de la commission. Cet agrément, souligne la Cnil le 11 octobre, n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la Cnil. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la Cnil, comme c’est déjà le cas aujourd’hui.